De la alegalidad al reto de regular las entidades de pago no bancarias con la PSD2 

“Se ha vuelto terriblemente obvio que nuestra tecnología ha superado nuestra humanidad.”
Albert Einstein 

El Real Decreto Ley 19/2018 del 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera entró en vigor el 25 de noviembre de 2018. Esta norma aprobó la transposición de la Directiva de Servicios de pago: (UE) 2015/2366 del Parlamento Europeo y del Consejo del 25 de noviembre de 2015 (en adelante, PSD2) con carácter general a excepción del Título II y III, que entrarían en vigor el 25 de febrero de 2019, y las medidas de seguridad recogidas en los artículos 37, 38, 39 y 68 del Real Decreto ley, que entrarían en vigor el pasado 14 de septiembre de 2019. 

La PSD2 es una normativa muy reciente, hecho que provoca que, a día de hoy, existan todavía dudas jurídico-operativas en la práctica. Con total seguridad, la PSD2 no es una normativa europea más; se abre un nuevo paradigma en el sector de pagos donde la máxima es que los datos son del cliente y sólo él es su dueño. En base a su consentimiento, se permite dar o revocar el acceso a los mismos. Analizando más en detalle el punto anterior, confirmamos que tiene varias implicaciones: a nivel competencial, los bancos dejarán de tener un monopolio en cuanto a productos financieros y los nuevos jugadores (Third Party Providers) representarán una amenaza para la banca. En este sentido, la PSD2 hace que los bancos deban adaptarse a la nueva normativa abriendo sus APIS (interfaces de programación), compartiendo los datos de sus clientes y sufragando los costes de infraestructuras que ello supone. Empresas como Trustly, Eurobits o Fintonic, entre otras, ya pueden acceder a la información de los clientes sin tener que batallar con los Bancos.

En un sentido positivo, la Directiva ha conseguido que este tipo de figuras (AISP y PISP) hayan pasado de un estado de alegalidad a la legalidad, relativa, eso sí, pues se mantiene la incógnita con aquellos servicios que son considerados no bancarios ya que la directiva no hace mención a los mismos. Esto provoca que, en la práctica, se siga produciendo una situación de alegalidad porque, aunque la PSD2 no permite el uso del screen scraping o técnica de rascado de pantalla para aquellos servicios de pago, los proveedores de servicios de pago podrán seguir utilizando esta técnica, almenos, para este tipo de servicios (fondos de inversión, valores, depósitos, préstamos etc.).

Asimismo, se generan dudas operativas tales como si la banca debe permitir al usuario a través de su banca online la revocación del consentimiento concedido previamente a un tercero (TPP). En este sentido, debemos prestar atención a lo que PSD2 y GDPR establecen, aunque no es tarea fácil dar una respuesta clara. Por un lado, el banco podría estar extralimitándose si lo permite y, por otro, en el caso de no hacerlo, la entidad no estaría garantizando la seguridad de los datos de su cliente, quien tiene la voluntad de revocar el acceso a sus datos por parte de un tercero.

Las compras online más seguras 

Otro aspecto relevante de la PSD2 es la seguridad que brinda a los compradores online. En cuanto a las compras online, la Directiva protege al comprador online mediante la SCA (Strong Customer Authentication). Su pretensión es la de proteger también al comercio y reducir el fraude que sufre, con las consecuentes pérdidas que representan para sus balances. No obstante, recordemos que se necesitarán dos de los tres factores de identificación que pide la Directiva (algo que sabe, algo que posee o algo que ellos son); una solución que aportará más seguridad pero que será peor a nivel de usabilidad al hacer más largo y tedioso el proceso de compra al comprador online hasta que no se afiance el uso de la biometría como sistema de autentificación.

En conclusión, el espíritu de la PSD2, al igual que el de otras regulaciones recientes como la GDPR, supone un paso adelante muy importante en lo referente a los derechos de los consumidores, poniéndoles en el centro de la actividad y persiguiendo el empoderamiento del ciudadano consumidor. Este objetivo subyacente, es muy positivo y puede augurar una senda de compromiso de las instituciones europeas y, por qué no, mundiales, con la defensa de los intereses de los consumidores inédita hasta el momento. Evidentemente, este noble objetivo puede conllevar notables efectos distorsionadores de los mercados y, posiblemente, haya sobrepasado lo racionalmente necesario a día de hoy en su afán de no quedar obsoleta prácticamente desde el día de su entrada en vigor debido a los rápidos cambios tecnológicos y de mercado. 

Sin duda, el empoderamiento del consumidor y el establecimiento legislativo de la potestad de los datos personales en el propio ciudadano es una decisión muy acertada, al igual que el fomento de la competitividad e innovación tecnológica en el sector financiero, de medios de pago y del comercio a través de pagos electrónicos. Pero también entraña altos riesgos a nivel de seguridad y de estabilidad de los mercados ya que permite el acceso a los datos de pago de los consumidores a nuevos jugadores sin reputación en el sector. Conscientes de ello, las instituciones han intentado establecer un marco de relación que garantice la seguridad y las reglas del juego en todos los países de la UE y para todas las organizaciones que deseen ofrecer sus servicios en territorio comunitario. Aun así, cabe destacar que esta voluntad de no poner puertas al campo puede suponer la irrupción de los gigantes tecnológicos americanos, los popularmente conocidos como GAFA (Google, Apple, Facebook y Amazon), en el sector financiero y de medios de pago.

En cualquier caso, queda claro que el contexto tecnológico, financiero y regulatorio actual dibuja un escenario cambiante, de evolución impredecible, que obligará a todos los actores participantes a tener una gran capacidad de adaptación a los cambios; en un argot más Darwiniano: “adaptarse o morir”.